Weitere Akkreditierung für IT-Sicherheitskatalog nach EnWG ab sofort möglich

Die Sicherheit der Energieversorgung erfordert zunehmend einen angemessenen Schutz der IT-gestützten Prozesse der sogenannten "Kritischen Infrastrukturen" vor Bedrohungen. Zertifizierungsstellen, die Betreiber von Strom- und Gasnetzen zertifizieren, konnten sich dazu bereits für § 11, Satz 1a des EnWG durch die Deutsche Akkreditierungsstelle (DAkkS) akkreditieren lassen. Nun ist auch die Akkreditierung nach § 11, 1b für die Zertifizierung von Energieanlagenbetreiber möglich.

Betreiber von Energieanlagen, die nach der BSI-Kritisverordnung (BSI-KritisV) als Kritische Infrastruktur identifiziert wurden, sind nach § 11 Abs. 1 b Energiewirtschaftsgesetz (EnWG) verpflichtet, den 2018 von der Bundesnetzagentur (BNetzA) veröffentlichten IT-Sicherheitskatalog für Energieanlagen umzusetzen. Nachgewiesen wird dies durch ein Zertifizierungsverfahren, das Betreiber von Energieanlagen bis zum 31. März 2021 abschließen und bei der BNetzA anzeigen müssen.

Akkreditierung durch die DAkkS nun möglich

Die in diesem Bereich tätigen Zertifizierungsstellen benötigen für den Nachweis ihrer Kompetenz eine Akkreditierung der DAkkS. Nachdem das notwendige Konformitätsbewertungsprogramm der Bundesnetzagentur veröffentlicht wurde, können interessierte Zertifizierungsstellen einen Antrag auf Akkreditierung für diesen Geltungsbereich einreichen.

Konformitätsbewertungsstellen, die bereits nach DIN EN ISO/IEC 17021-1:2015 für Informationssicherheitsmanagementsysteme nach der Norm ISO/IEC 27001 im Sektor Strom- und Gasnetzbetreiber akkreditiert sind, müssen eine Erweiterung ihrer Akkreditierung beantragen. Nach erfolgter Akkreditierung werden die Zertifizierungsstellen in die Datenbank der akkreditierten Stellen auf der DAkkS-Webseite aufgenommen.

Frist für das vollständig abgeschlossene Zertifizierungsverfahren verlängert

Ursprünglich galt der 31. März 2021 als Frist für den Abschluss des vorgeschriebenen Zertifizierungsverfahrens. Durch die Ausbreitung des Coronavirus und den damit zusammenhängenden Verzögerungen bei der Zertifizierung, hat die BNetzA die Frist entsprechend verlängert.

In ihrer „Regelung zur Vorlage des Nachweises zur Umsetzung des IT-Sicherheitskatalogs nach § 11 Abs. 1b EnWG im Zusammenhang mit der Ausbreitung von SARS-Cov-2“ vom 18. Mai 2020 hatte die BNetzA festgelegt, dass sie zum Ablauf der Frist Ende März 2021 lediglich das Erreichen der Zertifizierungsreife, nicht den Abschluss des geforderten Zertifizierungsverfahrens verlangen wird. Es ist daher ausreichend, wenn Betreiber von Energieanlagen zum genannten Stichtag der BNetzA gegenüber eine schriftliche Erklärung abgeben, aus der hervorgeht, dass sie die Anforderungen des IT-Sicherheitskatalogs gemäß EnWG in ihrem Haus vollständig umgesetzt haben.

Zusätzlich müssen Betreiber von Energieanlagen einen Nachweis über die Beauftragung einer Zertifizierungsstelle und die geplante Terminierung der notwendigen Audits erbringen. Das Zertifizierungsverfahren selbst kann daher auch in einem angemessenen Zeitraum nach dem 31. März 2021 abgeschlossen werden, sofern dies nicht anders möglich ist.